CVE-2026-53521
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Nezha Monitoring w wersjach od 2.0.14 do przed 2.1.0 pozwala na akceptację i przechowywanie nieistniejących identyfikatorów ddns_profiles dla serwera należącego do użytkownika. W przypadku, gdy inny użytkownik utworzy profil DDNS z jednym z tych identyfikatorów, może to prowadzić do wykorzystania konfiguracji profilu DDNS innego użytkownika w kontekście serwera napastnika.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane aktualizacje konfiguracji DDNS, co może prowadzić do przejęcia kontroli nad serwerami i usługami. To stwarza ryzyko dla integralności i dostępności systemów monitorowanych.
Rekomendacja
Zaleca się aktualizację do wersji 2.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt istniejących profili DDNS w celu zidentyfikowania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
Nezha Monitoring is a self-hostable, lightweight, servers and websites monitoring and O&M tool. From version 2.0.14 to before version 2.1.0, PATCH /server/{id} accepts and persists nonexistent ddns_profiles IDs for a member-owned server. If another user later creates a DDNS profile with one of those IDs, the DDNS worker resolves the stored ID and dispatches an update using the other user's DDNS profile configuration in the context of the attacker's server. This issue has been patched in version 2.1.0.

